Автором вредоносного ПО Bachosens оказался житель Тирасполя
Специалисты компании Symantec идентифицировали разработчика сложного вредоносного ПО Bachosens, использовавшегося в атаках на крупную китайскую автотехническую компанию и одного из авиаперевозчиков. Как удалось выяснить, хакера зовут Игорь и проживает он в Тирасполе (столица Приднестровской Молдавской Республики). Что интересно, вирусописатель сам упростил работу исследователям - он разместил свои персональные данные на одном из публичных автофорумов.
Первые атаки с использованием Bachosens были зафиксированы в 2014 году. Учитывая сложность вредоносного ПО, эксперты первоначально пришли к выводу, что к его созданию причастны поддерживаемые каким-либо правительством хакеры, но затем заметили несколько ошибок, больше свойственных начинающим вирусописателям.
Bachosens представляет собой бэкдор, позволяющий получить постоянный доступ к целевой системе. Вредоносное ПО распространяется посредством спам-рассылки. В ходе анализа атак эксперты Symantec также заметили кейлоггер, который, по их мнению вручную устанавливался злоумышленником на инфицированном устройстве.
В отличие от остальных бэкдоров Bachosens использует DNS, ICMP и HTTP для связи с управляющими серверами, а также генератор доменов (Domain Generation Algorithm, алгоритм генерации доменных имен) для создания доменов, использующихся в качестве C&C-серверов.
В ходе изучения кода Bachosens и данных доменного имени эксперты вышли на след русскоязычного хакера, предположительно проживающего в Тирасполе. По всей видимости, злоумышленник связан с магазином автозапчастей, что объясняет его атаку на китайского производителя. По данным Symantec, хакер похитил программное обеспечение для диагностики автомобилей стоимостью $1,1 тыс. и предлагал его на различных форумах и специально созданных для этой цели web-сайтах всего за $110.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш